Блог Spaceship

Чому 2FA має стати вашою звичкою №1 для безпеки електронної пошти

Її винайшли у 90-х (і це широко приписують AT&T), але справжню популярність вона здобула лише в середині 2000-х. Двофакторна автентифікація (або 2FA, як її частіше називають) має настільки просту концепцію, що це майже прекрасно — поєднання того, що ви знаєте, з тим, що ви маєте.

Проблема та рішення

Проблема:

Ім’я користувача та пароль були єдиним, що стояло між нашими даними та несанкціонованим доступом. Наші облікові записи — це, по суті, двері без нагляду, готові до злому 24/7 без нашого відома. Ситуацію не покращує й те, що імена користувачів майже завжди шаблонні, а паролі також можуть бути легкими для вгадування, тому що всі ми схильні до однакових ідей.

Наприклад, одне слово було б важко вгадати іншій людині, але через обмежену кількість слів в англійській мові це напрочуд легко для комп’ютера. Саме тому багато сайтів просять нас посилювати паролі літерами та спеціальними символами. Але з дедалі складнішим програмним забезпеченням для зламу, а тепер і з появою AI, навіть цього недостатньо. Пам’ятайте, що ті «двері» до вашого облікового запису доступні для виявлення в ефірі 24/7.

Рішення:

Підтвердження того, що входите саме ви, за допомогою чогось, що може (логічно) бути лише у вашому володінні. Це може бути смартфон, обліковий запис електронної пошти, ключ або навіть біометричні дані. Який би метод не використовувався, 2FA гарантує, що спроби несанкціонованого входу можна буде заблокувати, а ви зможете вжити заходів, щоб запобігти подальшим порушенням.

Звісно, це своєрідна перевірка особи — еквівалент погляду у вічко перед тим, як відчинити вхідні двері, — але реалізація досить винахідлива, якщо замислитися. Рівень безпеки та обізнаності, який 2FA додає обліковому запису, робить його більшим за суму його частин.

То чому ж тоді знадобилося так багато часу, щоб це стало популярним? Імовірно, це було лише поєднанням поступового зростання кіберзлочинності протягом років, поширення людей із вторинними пристроями та збільшення обчислювальної потужності, доступної кіберзлочинцям, через що цьому довелося чекати свого часу, щоб засяяти. Також можливо, що були побоювання щодо втрати вторинного пристрою.

Де ми вже роками бачимо успіх 2FA

Банківські та фінансові застосунки використовують це вже кілька років. Але якщо ви ще не помітили, як це поступово з’являється у ваших більш «повсякденних» облікових записах, ймовірно, скоро помітите. Розгортання вже триває, оскільки технології зламу стають дедалі складнішими, а компанії, що працюють із даними, несуть дедалі більшу відповідальність за захист наших даних.

Розгляньмо 2FA на прикладі облікових записів електронної пошти. Досі ви могли вважати активацію 2FA для своєї електронної пошти зайвим клопотом або надмірною обережністю — але ми переконаємо вас, чому це настільки варто, особливо якщо ви займаєтеся бізнесом.

Навіщо додавати 2FA для захисту вашого облікового запису електронної пошти?

Ну, по-перше, другий рівень захисту на додачу до вашого пароля — це ніколи не погано. А тепер зупиніться й подумайте, які конфіденційні дані містить ваш обліковий запис електронної пошти:

  • Банківська інформація — та, яку ви вже роками захищаєте 2FA в інших місцях.

  • Особисті вкладення — фотографії, документи або навіть ваші власні роботи, на які ви хочете мати права інтелектуальної власності.

  • Історія покупок — та інші дані, які можуть бути цінними для рекламодавців.

  • Медичні дані — записи про прийоми, ліки або навіть захворювання.

  • Дані про нерухомість — купівля будинків та подібні важливі процеси часто відбуваються без паперових документів.

І, як ми вже згадували, якщо ви займаєтеся бізнесом, ці дані майже напевно включають і дані ваших клієнтів. Захист цих даних є юридичним обов’язком у країнах із правилами на кшталт GDPR. Тож захист електронної пошти вже починає здаватися очевидним рішенням, а ми ще навіть не закінчили!

Мабуть, найважливіша причина захищати свою електронну пошту полягає в тому, що вона є воротами до багатьох ваших інших облікових записів. Протягом багатьох років це був поширений спосіб скидання паролів. Усе, що потрібно людині з доступом до вашої електронної пошти, — це прочитати ваші повідомлення, щоб з’ясувати, на яких сайтах у вас є облікові записи, а потім пройти на них процес «забутого пароля».

Майже для всіх менших сайтів зареєстрований обліковий запис електронної пошти — це все, що стоїть між вашим обліковим записом і стороннім доступом. Це може означати, що багато ваших облікових записів буде скомпрометовано ще до того, як ви взагалі зрозумієте, що ваш обліковий запис зламали.

Легко додайте 2FA до свого облікового запису

Хороша новина полягає в тому, що додати 2FA до більшості облікових записів електронної пошти дуже легко. Облікові записи для бізнесу або професійної електронної пошти особливо часто пропонують цю функцію. Процес активації зазвичай простий і дуже швидкий у налаштуванні, особливо якщо у вас уже є автентифікатор для інших застосунків.

Ми розглянемо Spacemail (від Spaceship як хороший приклад), де 2FA можна активувати за кілька кліків.

  1. Увійдіть у свій обліковий запис

  2. Натисніть значок шестерні налаштувань у верхньому правому куті екрана.

  3. Натисніть «Запустити центр безпеки» у другому блоці.

  4. Натисніть TWO FACTOR AUTHENTICATION на вкладці.

  5. Виберіть один із двох підтримуваних типів 2FA.

Не забудьте закрити й інші точки входу

Додати 2FA до основного входу — це, звісно, добре, але є велика ймовірність, що у вас є ще один обхідний шлях до вашого облікового запису електронної пошти, якщо він підключений до застосунку (наприклад, Outlook або Gmail) на вашому телефоні.

Протоколи, що використовуються для ввімкнення цієї функції, включають IMAP, SMTP і POP3. Якщо їх увімкнено, доступ до вашого облікового запису можна налаштувати через застосунок, оминаючи налаштовану вами 2FA. Щоб гарантувати безпеку, вимкніть ці протоколи, якщо це можливо.

У випадку Spacemail застосунок зараз перебуває в розробці й запланований до випуску пізніше цього року. Це дасть вам змогу легко отримувати доступ до своєї пошти на пристрої на кшталт смартфона без шкоди для безпеки.

Типи 2FA

Говорячи про «типи 2FA», давайте детальніше розглянемо, що це таке і як вони працюють у контексті Spacemail. Загалом існує три типи 2FA. Усі вони використовують різні фактори для автентифікації.

«Щось, що ви знаєте»

Сюди входять такі речі, як додаткові PIN-коди або контрольні запитання. Це інформація, яку повинні знати лише ви, — але в багатьох аспектах вона не так уже й відрізняється від пароля. Це більш застаріла форма 2FA, яку поступово виводять з ужитку на користь наведених нижче методів.

Можливо, ви чули кілька років тому пораду обирати вигадане «дівоче прізвище матері» або «першого домашнього улюбленця», щоб люди не могли вгадати чи дослідити вашу відповідь.

Через відносну ненадійність цей метод не підтримується Spacemail.

«Щось, чим ви є»

Ми вже коротко торкалися цього. Цей тип 2FA покладається на біометричні дані, такі як відбитки пальців, розпізнавання обличчя та голосу. Це корисно там, де вторинний пристрій може бути не найкращим варіантом, наприклад, у багатьох випадках ми використовуємо смартфон, який сам по собі є вторинним пристроєм.

Біометрія дає змогу виконати вторинну перевірку за допомогою власної особи. Хоча для цього потрібні додаткові датчики, які зазвичай є лише в сучасних і складних пристроях.

«Щось, що ви маєте»

Більшість 2FA належить до цієї категорії, і це стосується обох варіантів, які ви знайдете в Spacemail. Вони вимагають володіння певним пристроєм або предметом. Існує кілька способів реалізації цього методу.

TOTP (одноразовий пароль на основі часу)

Код, згенерований застосунком-автентифікатором, забезпечує безпечний вхід. Ви можете використовувати застосунки-автентифікатори або надсилати одноразові коди через SMS/email. У випадку Spaceship TOTP дозволено лише через застосунок-автентифікатор, оскільки це набагато безпечніше.

U2F (універсальний другий фактор)

U2F використовує криптографію з відкритим ключем, що робить його безпечнішим і стійкішим до фішингу. Він не потребує ручного введення кодів. Ви просто вставляєте апаратний ключ (наприклад, YubiKey) у свій пристрій. Додаткова перевага полягає в тому, що якщо хтось украде ваш смартфон, для доступу до облікових записів, захищених 2FA, все одно знадобиться додатковий пристрій (ключ).

Який метод обрати

U2F зазвичай вважається безпечнішим, оскільки пристрої є стійкими до втручання, а криптографічний процес прив’язаний до конкретного вебсайту або застосунку. Це гарантує, що навіть якщо користувача обманом змусили відвідати підроблений сайт, автентифікація не пройде, оскільки фальшивий сайт не може відтворити потрібне захищене з’єднання.

Звісно, придбання U2F-ключа передбачає певні витрати, але це може бути того варте, коли йдеться про вашу безпеку.

2FA як частина збалансованої дієти безпеки…

Людина не може жити лише 2FA. Це не заміна належним комплексним практикам безпеки. Наші облікові записи електронної пошти особливо вразливі до фішингу та атак шкідливого програмного забезпечення. Іронія в тому, що нікому навіть не потрібно входити у ваш обліковий запис, щоб становити таку загрозу. Достатньо просто надіслати електронний лист.

Ось чому облікові записи, які пропонують інші засоби захисту від загроз електронної пошти, зокрема антиспам-фільтри, також є розумною інвестицією. Якщо ви взагалі не бачитимете електронних листів, що містять пастки соціальної інженерії або шкідливе програмне забезпечення, ви навіть не зіткнетеся з найбільшим ризиком для своєї безпеки.Активуйте 2FA у своєму обліковому записі вже сьогодні, а якщо виявите, що її там немає, подумайте про перехід на той, де вона є.

Часті запитання

2FA — це скорочення від двофакторної автентифікації. Найпоширеніший метод 2FA додає додатковий рівень безпеки до входу в систему, поєднуючи те, що ви знаєте (ваше ім’я користувача та пароль), з тим, що є у вашому володінні (найчастіше смартфон або ключ). Це означає, що ви отримаєте сповіщення, якщо буде запитано будь-який несанкціонований вхід.

2FA підтверджує вашу особу, коли ви отримуєте доступ до свого облікового запису. При цьому вона також сповіщає вас, якщо хтось інший намагається увійти. Облікові записи електронної пошти є особливо привабливою ціллю для кіберзлочинців, оскільки містять багато конфіденційних даних, а також можуть слугувати шлюзом до інших облікових записів через стандартний процес «забули пароль», який значною мірою покладається на зареєстровану адресу електронної пошти.

Багато облікових записів, особливо створених для бізнес-користувачів, включають це за замовчуванням. Зазвичай це досить легко налаштувати, перейшовши в налаштування безпеки. Зазвичай це зробити швидше, якщо у вас уже є застосунок-автентифікатор або ключ, яким ви користуєтеся.

Так, існує кілька видів 2FA. Найпоширеніший використовує пристрій, як-от смартфон або ключ U2F (окремий пристрій). Біометрія також вважається другим фактором автентифікації, і більш застарілі контрольні запитання (наприклад, «дівоче прізвище матері») технічно теж підходять, але сьогодні їх використовують рідко, оскільки їх легко вгадати.

Увійдіть у свій обліковий запис. Натисніть значок шестерні налаштувань у верхньому правому куті екрана. Натисніть «Launch security center» у другому блоці. Перейдіть на вкладку TWO FACTOR AUTHENTICATION. Виберіть один із двох підтримуваних типів 2FA.


Рекомендовані статті

Поділіться своїми думками

Потрібно більше 10 символів.
Ваша ідентичність для публічного відображення.
Надання вашої електронної адреси є необов'язковим. Вона не буде передана третім особам.

Допоможіть нам покращити наш блог

Поділіться своїми думками в короткому двохвилинному опитуванні.

Потрібна дійсна адреса електронної пошти